Sécurité des produits : certifications, validations et procédures applicables pour macOS

Cet article fait référence à diverses ressources liées aux certifications de produit, aux validations cryptographiques et aux recommandations en matière de sécurité pour les plateformes macOS. Contactez-nous à l’adresse security-certifications@apple.com si vous avez des questions.

Validations de modules cryptographiques

Toutes les certifications de validation de conformité FIPS 140-2 Apple sont disponibles sur la page répertoriant les fournisseurs adhérant au programme CMVP. Apple participe activement à la validation des modules CoreCrypto et noyau CoreCrypto pour chaque version majeure de macOS. La validation ne peut être effectuée que par rapport à une version de module finale et soumise de manière officielle lors de la diffusion publique du système d’exploitation. Désormais, CMVP conserve l’état de la validation des modules cryptographiques sous deux listes distinctes en fonction de leur état actuel. Les modules commencent dans la liste des implémentations en cours de test avant de passer à la liste des modules en cours de traitement.

macOS Mojave

Apple se consacre activement à la validation des modules CoreCrypto v9.0 utilisés dans macOS Mojave, qui sera disponible prochainement.

macOS High Sierra

macOS Sierra

OS X El Capitan

Versions précédentes

Les anciennes versions d’OS X suivantes disposaient de validations de modules cryptographiques et sont à présent archivées :

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Guides de configuration relatifs à la sécurité

Les organisations chargées de garantir la sécurité développent et diffusent des instructions approuvées, relatives à la configuration de diverses plateformes et applicables aux normes d’utilisation. Les guides de configuration relatifs à la sécurité fournissent un aperçu des fonctionnalités OS X et iOS permettant d’améliorer le niveau de protection de votre appareil. Des administrations du monde entier ont collaboré avec Apple au développement de guides regroupant des instructions et des recommandations pour garantir ou accroître le niveau de sécurité d’environnements donnés. 

Pour utiliser ces guides, vous devez être un utilisateur expérimenté ou un administrateur système. Vous devez également connaître l’interface utilisateur et maîtriser les outils de gestion applicables à la plateforme cible. Il est également recommandé de maîtriser les concepts de base de gestion de réseau. Certaines des instructions fournies dans les guides sont complexes. Si vous ne les suivez pas correctement, vous risquez d’obtenir des résultats non concluants ou de réduire le niveau de protection. En cas de modification apportée aux réglages de votre appareil, effectuez les tests nécessaires avant le déploiement.

Pour plus d’informations, consultez le Guide de sécurité de macOS (fichier PDF).

  macOS High Sierra 10.13                  macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP On Apple SCAP On Apple SCAP on Apple

Royaume-Uni
(NCSC)
EUD Security Guidance: macOS 10.13 High Sierra (Consignes de sécurité relatives aux appareils des utilisateurs finaux : macOS 10.13 High Sierra) End User Devices Security Guidance (Consignes de sécurité relatives aux appareils des utilisateurs finaux) End User Devices Security Guidance
(Consignes de sécurité relatives aux appareils des utilisateurs finaux)
End User Devices Security Guidance
(Consignes de sécurité relatives aux appareils des utilisateurs finaux) (fichier PDF)

Script de provisioning pour OS X 10.11

États-Unis
(DISA, NIST, NSA)
STIG macOS

Station d’accueil macOS 10.12 STIG

Checklist NIST

Guide d’implémentation technique de sécurité (STIG) pour les stations de travail Apple OS X 10.11

Certifications de sécurité

Liste des certifications reçues par Apple, actives et reconnues.

Certification ISO 27001 et 27018

Apple a reçu la certification ISO 27001 et ISO 27018 pour le Système de gestion de la sécurité de l’information pour l’infrastructure, le développement et les opérations prenant en charge ces produits et services : Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, les identifiants Apple gérés, Siri et Pour l’école, conformément à la version 2.1 de la déclaration d’applicabilité, datée du 11 juillet 2017. Le BSI (British Standards Institution) a certifié la conformité d’Apple à la norme ISO. Le site Web de BSI dispose de certificats de conformité pour ISO 27001 et ISO 27018.

Certification selon les critères communs

Les critères communs, un ensemble de normes de sécurité internationales et approuvées, permettent de fournir une évaluation fiable des fonctionnalités de sécurité des produits de technologie de l’information. En attestant, en toute impartialité, de la capacité d’un produit à satisfaire aux critères de sécurité, la certification selon les critères communs apporte aux clients une confiance accrue dans les produits de technologie de l’information, tout en permettant la prise de décisions plus éclairées.

Par le biais d’un accord de reconnaissance, les pays et régions membres se sont entendus pour qualifier de manière identique le niveau de confiance de tels produits. Le nombre de membres continue de croître chaque année. De même, l’éventail des profils de protection s’élargit, de manière à englober les technologies naissantes. Grâce à cet accord, les développeurs de produits n’ont besoin d’obtenir qu’une seule certification, auprès de l’une des autorités compétentes.

La certification selon les critères communs a été récemment réétudiée. Désormais, il n’est plus fait référence aux niveaux d’assurance EAL. Les anciens profils de protection ont été archivés et vont être remplacés par des profils ciblés sur des solutions et environnements spécifiques. Afin de garantir une reconnaissance mutuelle continue entre tous les pays signataires de l’accord, la communauté technique internationale (iTC) est chargée du développement des profils de protection futurs et des mises à jour vers les profils de protection collaboratifs (cPP), développés par de nombreuses autorités de certification.

Depuis début 2015 et dans le cadre de cette restructuration des critères communs, Apple a pris part à un processus de certification pour des profils de protection ciblés. Les certifications reçues par Apple, actives et reconnues, sont répertoriées ci-dessous.

macOS

Apple se consacre activement à la validation de macOS vis-à-vis du profil de protection à finalité générale du système d’exploitation. 

Déclarations de volatilité

S’il leur est nécessaire d’obtenir une déclaration de volatilité auprès du fabricant du produit, les organisations gouvernementales, ainsi que tout entrepreneur auquel elles font appel, peuvent envoyer leur demande à l’adresse e-mail AppleFederal@apple.com. Le message doit inclure le nom de l’agence gouvernementale effectuant la demande, le nom et le numéro de série du produit Apple, de même que toutes les coordonnées appropriées.

Autres systèmes d’exploitation

Apprenez-en davantage sur la sécurité des produits, les validations et sur les recommandations relatives aux systèmes suivants :

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: